Nem fukarkodott a hibajavításokkal az Adobe

Az Adobe az elmúlt időszakban nem spórolt a Flash Playerhez kiadott frissítésekkel. Legutóbb június 5-én tett letölthetővé új verziót a széles körben használt alkalmazásából. Akkor egy olyan sebezhetőséget szüntetett meg, amelyet korábban a támadók Gmaillel kapcsolatos károkozásokhoz használtak ki. Most pedig egy olyan memóriakezelési hibát javított, amelynek révén a támadók akár teljes mértékben átvehetik az érintett rendszerek feletti irányítást, vagy azok összeomlását idézhetik elő. A sérülékenység speciálisan szerkesztett Flash objektumok révén válhat kihasználhatóvá, melyek kártékony weboldalakon kaphatnak helyet. Az Adobe közleménye szerint a Flash Player sebezhetősége a Windows, a Macintosh, a Linux, a Solaris és az Android kompatibilis kiadásokat érinti. A fejlesztők hangsúlyozták, hogy a szoftverben ezúttal orvosolt hiba nem található meg abban az authplay.dll nevű állományban, amely a Reader részét is képezi. Vagyis a mostani biztonsági rés PDF-állományokba ágyazott Flash objektumokkal nem használható ki.

Frissült a Reader és az Acrobat

Noha a fenti sebezhetőség nem érinti az Adobe PDF-kezelő alkalmazásait, azok számos egyéb sérülékenység miatt szorulnak frissítésre. A fejlesztők több mint egy tucat biztonsági rést foltoztak be a két szoftveren. Két hiba kivételével az összes kritikus veszélyességi kategóriába sorolható, ugyanis azok tetszőleges kódok jogosulatlan távoli futtatását segíthetik elő, és ezáltal kiszolgáltatottá tehetik a rendszereket.

A Reader és az Acrobat többnyire memóriakezelési rendellenességektől, puffertúlcsordulási hibáktól, DLL-betöltési problémáktól és biztonsági megkötések megkerülésére alkalmas sérülékenységektől szabadult meg. A Reader X-ben pedig egy olyan biztonsági rés befoltozására is sor került, amelynek révén eddig a Reader böngésző plugin-jét rá lehetett venni arra, hogy nem PDF formátumú állományokat is letöltsön.

Az Adobe közleménye szerint a mostani frissítések a Windows és a Mac OS X kompatibilis alkalmazásait érintik. A cég a Reader X 10.1-es vagy a Reader 9.4.5-ös verzióinak használatát javasolja. Amennyiben van rá lehetőség, akkor a Reader X-et célszerű telepíteni, ugyanis az abban megtalálható sandbox védelem sok esetben jelentősen képes csökkenteni a sérülékenységek kockázatát.

Az Adobe jelezte, hogy ezúttal a frissítésből a Shockwave Player, a LifeCycle Data Services, a Blaze DS és a ColdFusion sem maradt ki. A legújabb verziók a cég weboldalairól tölthetők le vagy az integrált frissítési összetevők segítségével telepíthetők.

A sebezhetőségekkel kapcsolatban további információk az Isidor Biztonsági Központ weboldalain olvashatók.